Vulnerabilidade

Uma vulnerabilidade é uma fraqueza que pode ser explorada ou acionada por uma fonte de ameaça em controles internos, procedimentos de segurança de sistemas, um sistema de informação ou implementação. Uma fraqueza é sinônimo de deficiência e pode resultar em riscos de segurança ou privacidade ou ambos.

Em termos de cibersegurança, uma vulnerabilidade é uma exposição de segurança que existe em um sistema operacional, em um software de sistema ou em um componente de software de aplicação. Cada vulnerabilidade pode potencialmente comprometer o sistema ou a rede se for explorada.

Existem vários bancos de dados de vulnerabilidades acessíveis publicamente, às vezes baseados nos números de versão do software. Common Vulnerabilities and Exposures (CVE) é um meio comum de enumerar vulnerabilidades de segurança da informação publicamente conhecidas, operado pela The MITRE Corporation.

Os identificadores CVE atribuem a cada vulnerabilidade um nome/número exclusivo. O Common Vulnerability Scoring System (CVSS) é um padrão aberto do setor de propriedade e gerenciado pela FIRST.Org, Inc. (FIRST), uma organização sem fins lucrativos sediada nos EUA.

O CVSS 3.1 identifica a gravidade de uma vulnerabilidade com base nas seguintes métricas:

Métricas base

• Vetor de acesso (qual acesso é necessário: local, rede adjacente, rede, físico)
• Complexidade de acesso (quão fácil ou difícil é explorar)
• Privilégios necessários (qual nível de privilégios um invasor precisa antes de explorar a vulnerabilidade com sucesso)
• Interação do usuário (se o invasor requer um usuário separado ou processo iniciado pelo usuário para explorar a vulnerabilidade)

Métricas de impacto

• Escopo (se uma vulnerabilidade em um componente afeta recursos além de seu escopo de segurança)
• Confidencialidade (a confidencialidade dos dados é impactada)
• Integridade (qual é o impacto na integridade do sistema)
• Disponibilidade (o sistema permanecerá totalmente funcional, apresentará desempenho ou capacidades reduzidas, ou ficará indisponível)

Uma falha pode ser o resultado de um design inadequado ou erros de implementação, e resulta em funcionalidade não intencional. Também existem métricas temporais (maturidade do código de exploração, nível de remediação e confiança do relatório) e métricas ambientais (métricas base modificadas e requisito de confidencialidade, requisito de integridade e requisito de disponibilidade).

A Common Weakness Enumeration (CWE) é uma lista de fraquezas de software e hardware que têm ramificações de segurança. A gravidade das fraquezas é pontuada usando o Common Weakness Scoring System (CWSS™) e o Common Weakness Risk Analysis Framework (CWRAF™) e são baseadas em descobertas básicas, superfície de ataque e métricas ambientais. Um invasor pode explorar vulnerabilidades, fraquezas ou erros do usuário individualmente ou combiná-los para realizar um ataque. Essas métricas ajudam equipes de resposta a incidentes e profissionais de cibersegurança a determinar o nível de ameaça de uma vulnerabilidade e a melhor forma de abordá-la.